登录
首页 >  文章 >  python教程

DjangoAJAXPOST更新:CSRF令牌处理教程

时间:2025-08-27 19:10:40 179浏览 收藏

本文针对 Django 项目中常见的 AJAX 数据更新失败问题,深入解析了 Django 的 CSRF 保护机制。由于 CSRF 令牌缺失或处理不当,可能导致 POST 请求被拒绝。本文将详细介绍如何在前端 JavaScript 中获取并正确地通过请求头发送 CSRF 令牌,以及后端视图的相应配置,从而确保数据修改操作的安全性和成功。避免滥用 `@csrf_exempt` 装饰器,遵循 Django 默认的安全实践至关重要。通过本文提供的最佳实践和调试技巧,开发者可以有效地解决 Django AJAX POST 数据更新中的 CSRF 问题,构建更安全、更可靠的 Web 应用。

Django AJAX POST 请求数据更新指南:正确处理 CSRF 令牌

本文深入探讨了在 Django 项目中使用 AJAX 进行数据更新时,因 CSRF 令牌缺失或处理不当导致请求失败的常见问题。我们将详细介绍 Django 的 CSRF 保护机制,提供在前端 JavaScript 中获取并正确发送 CSRF 令牌的最佳实践,并指导后端视图的相应配置,确保数据修改操作的安全性和成功执行。

理解 Django CSRF 保护机制

跨站请求伪造(CSRF)是一种常见的网络攻击,攻击者诱导用户在不知情的情况下向目标网站发送恶意请求。为了防范此类攻击,Django 内置了强大的 CSRF 保护机制。当处理 POST、PUT、DELETE 等可能修改服务器状态的请求时,Django 会要求请求中包含一个有效的 CSRF 令牌。如果请求中缺少或包含无效的令牌,Django 的 CSRF 中间件将默认拒绝该请求,导致数据更新失败。

在模板中,通常会使用 {% csrf_token %} 标签来生成一个隐藏的输入字段,其中包含了 CSRF 令牌。对于 AJAX 请求,我们需要手动从 Cookie 或 DOM 中获取这个令牌,并将其作为请求头的一部分发送到服务器。

虽然 Django 提供了 @csrf_exempt 装饰器来豁免特定视图的 CSRF 检查,但除非有明确的理由(例如为公共 API 提供服务,并采用其他认证机制),否则不建议在处理敏感数据或修改操作的视图中使用它,因为它会削弱应用的安全性。正确的做法是始终在前端 AJAX 请求中包含 CSRF 令牌。

前端 AJAX 请求中的 CSRF 令牌处理

为了确保 AJAX POST 请求能够成功通过 Django 的 CSRF 验证,我们需要在 JavaScript 代码中获取 CSRF 令牌,并将其添加到请求头中。Django 的官方文档推荐通过解析 document.cookie 来获取 csrftoken。

以下是一个通用的 getCookie 函数,用于从浏览器 Cookie 中提取指定名称的 Cookie 值:

function getCookie(name) {
    let cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        const cookies = document.cookie.split(';');
        for (let i = 0; i < cookies.length; i++) {
            const cookie = cookies[i].trim();
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}

有了 getCookie 函数,我们就可以在 fetch API 请求中添加 X-CSRFToken 请求头。

// 确保 getCookie 函数在 postStatus 函数之前定义
function getCookie(name) {
    let cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        const cookies = document.cookie.split(';');
        for (let i = 0; i < cookies.length; i++) {
            const cookie = cookies[i].trim();
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}

function postStatus(submissionId) {
    const selectElement = document.getElementById(submissionId);
    const status = selectElement.value;
    const csrftoken = getCookie('csrftoken'); // 获取 CSRF 令牌

    fetch(`/room/{{ room.join_code }}/bills/{{ bills.slug }}/status/`, {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json',
            'X-CSRFToken': csrftoken // 在请求头中加入 CSRF 令牌
        },
        body: JSON.stringify({
            "submission_id": submissionId, // 注意这里是 submission_id,与后端保持一致
            "status": status
        })
    })
    .then(response => {
        if (!response.ok) {
            // 处理非 2xx 响应,例如 403 Forbidden(CSRF 失败)
            console.error('Network response was not ok: ', response.statusText);
            return response.json().then(err => { throw new Error(JSON.stringify(err)); });
        }
        return response.json();
    })
    .then(data => {
        console.log('Status updated successfully:', data);
        // 可以根据需要添加成功提示或更新 UI
    })
    .catch(error => {
        console.error('There was a problem with the fetch operation:', error);
        // 处理网络错误或解析错误
    });
}

请注意,在 body 中,我们使用了 "submission_id" 而不是 "submissionId",这是为了与后端 views.py 中 data["submission_id"] 的键名保持一致。

后端视图 (views.py) 最佳实践

为了充分利用 Django 的 CSRF 保护机制,建议从视图函数中移除 @csrf_exempt 装饰器。当前端正确发送 X-CSRFToken 请求头时,Django 的中间件会自动验证该令牌。

import json
from django.http import JsonResponse
# from django.views.decorators.csrf import csrf_exempt # 移除此行

# 移除 @csrf_exempt 装饰器
def remark_proof_api(request, room_id, bills_slug):
    if request.method == "POST":
        try:
            data = json.loads(request.body.decode("utf-8"))
            submission_id = data.get("submission_id") # 使用 .get() 避免 KeyError
            status = data.get("status")

            if not submission_id or not status:
                return JsonResponse({"success": False, "message": "Missing submission_id or status"}, status=400)

            # 确保 submission_id 是整数
            sub = Submission.objects.get(id=int(submission_id))
            sub.status = status
            sub.save()

            return JsonResponse({"success": True, "message": "Status updated successfully"})
        except Submission.DoesNotExist:
            return JsonResponse({"success": False, "message": "Submission not found"}, status=404)
        except json.JSONDecodeError:
            return JsonResponse({"success": False, "message": "Invalid JSON"}, status=400)
        except Exception as e:
            # 捕获其他潜在错误
            return JsonResponse({"success": False, "message": str(e)}, status=500)
    return JsonResponse({"success": False, "message": "Invalid request method"}, status=405) # 处理非 POST 请求

后端视图现在将依赖于 Django 默认的 CSRF 验证,如果前端未提供有效的 CSRF 令牌,请求将直接被中间件拒绝,并返回 403 Forbidden 错误。

完整示例代码

以下是整合了上述修改后的前端 HTML (JavaScript 部分) 和后端 Python 代码示例:

view-bills-admin.html (JavaScript 部分)

views.py

import json
from django.http import JsonResponse
from .models import Submission # 假设 Submission 模型在当前应用的 models.py 中

# 移除 @csrf_exempt 装饰器,依赖 Django 默认的 CSRF 中间件
def remark_proof_api(request, room_id, bills_slug):
    if request.method == "POST":
        try:
            data = json.loads(request.body.decode("utf-8"))
            submission_id = data.get("submission_id")
            status = data.get("status")

            if not submission_id or not status:
                return JsonResponse({"success": False, "message": "Missing submission_id or status"}, status=400)

            sub = Submission.objects.get(id=int(submission_id))
            sub.status = status
            sub.save()

            return JsonResponse({"success": True, "message": "Status updated successfully"})
        except Submission.DoesNotExist:
            return JsonResponse({"success": False, "message": "Submission not found"}, status=404)
        except json.JSONDecodeError:
            return JsonResponse({"success": False, "message": "Invalid JSON payload"}, status=400)
        except Exception as e:
            return JsonResponse({"success": False, "message": f"An error occurred: {str(e)}"}, status=500)
    return JsonResponse({"success": False, "message": "Invalid request method"}, status=405)

注意事项与调试

  1. CSRF 令牌的重要性: 始终记住,对于任何修改数据的 POST、PUT、DELETE 请求,都应该包含 CSRF 令牌。这是 Django 默认且推荐的安全实践。
  2. 避免滥用 @csrf_exempt: 除非你对安全风险有清晰的理解,并且有其他严格的认证机制来替代 CSRF 保护,否则请避免使用 @csrf_exempt。
  3. 事件触发: 原代码中使用 onblur 事件触发 AJAX 请求。onblur 在元素失去焦点时触发。对于 select 元素,更常见的选择是 onchange 事件,它在用户选择一个新值后(并且通常在失去焦点时)触发,这可能更符合用户预期。根据你的具体需求选择合适的事件。
  4. 调试技巧: 当遇到 AJAX 请求不工作时,使用浏览器的开发者工具(通常按 F12 键打开)是必不可少的。
    • Network (网络) 选项卡: 检查发出的请求,查看其状态码(例如 200 OK, 403 Forbidden, 400 Bad Request 等),请求头和响应体。如果收到 403 Forbidden,很可能就是 CSRF 令牌问题。
    • Console (控制台) 选项卡: 检查是否有 JavaScript 错误,以及你的 console.log 输出。

总结

正确处理 Django 中的 CSRF 令牌是构建安全、可靠的 AJAX 数据更新功能的基础。通过在前端 JavaScript 中获取并随请求发送 X-CSRFToken,并确保后端视图未被不恰当地豁免 CSRF 保护,我们可以有效地防范 CSRF 攻击,同时保证数据修改操作的顺畅进行。遵循这些最佳实践,将有助于你的 Django 应用更加健壮和安全。

终于介绍完啦!小伙伴们,这篇关于《DjangoAJAXPOST更新:CSRF令牌处理教程》的介绍应该让你收获多多了吧!欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识,快来关注吧!

相关阅读
更多>
最新阅读
更多>
课程推荐
更多>